Allan Costa, vice-Presidente de operações da ISH Tech
ARQUIVO PESSOAL/DIVULGAÇÃO/JC
Allan Costa
No mês de agosto, um apagão de grandes proporções deixou a maioria dos estados brasileiros sem energia elétrica por alguns minutos. As investigações seguem em andamento, mas a hipótese melhor aceita até o momento é de o que ocorreu foi uma sobrecarga no fornecimento do Ceará, que atingiu as demais regiões do país. Ainda que por um curto período, houve repercussões negativas – o setor do varejo, por exemplo, registrou uma queda de quase 5%. Além disso, à medida em que a luz demorava para voltar, cresceu o alerta para lugares como hospitais e frigoríficos, onde a energia elétrica é imprescindível.Vermos um país inteiro ficando sem energia e precisando interromper boa parte de suas atividades por um erro, ao que tudo indica, relativamente bobo, deixa ainda mais notória a necessidade urgente de implementar soluções efetivas de segurança cibernética. Vale pensarmos: e se fosse um ataque orquestrado, feito para durar muito mais do que apenas alguns minutos?O movimento de digitalização de todos os ramos de negócios traz inúmeros benefícios, mas infelizmente também cria um cenário perfeito para o aumento de ataques. E as infraestruturas críticas, como cidades ou órgãos governamentais, se apresentam como alvos dos mais atrativos: aqui, paralisar as atividades simplesmente não é uma opção, e isso faz com que os valores de resgate dos dados sejam milionários.Os criminosos estão cientes disso. Isso nos ajuda a explicar um dado da Kaspersky que aponta para um crescimento de 41% no número de ataques cibernéticos contra empresas de energia na América Latina. Alvos não faltam – grandes empresas, indústrias, ou mesmo estados-nações, e nem motivações – roubo de dados, espionagem, política. O conflito ainda persistente entre Rússia e Ucrânia está aí para nos lembrar de como os ataques cibernéticos se tornaram valiosos membros dos arsenais de guerra.É importante dizer que medidas estão sendo tomadas. Desde o início de 2023, empresas brasileiras têm passado por regulações impostas pelo Operador Nacional do Sistema Elétrico (ONS) para a prevenção de ataques hacker. Mas ainda é preciso fazer muito mais. Especialmente em setores de alta criticidade, onde o interrompimento de atividades afeta profundamente a vida das pessoas, a segurança cibernética precisa ser vista como um investimento, e não um custo.Sistemas de gerenciamento de identidade e acesso são um dos caminhos. Por meio deles, o controle de quem pode acessar os dados (e quais dos dados) é simplificado, ao mesmo tempo em que mantém os criminosos afastados. Também é necessário pensar na resposta para a pergunta “e se acontecer comigo?”, com planos de resposta e gerenciamento de crise bem definidos e implementados.E, claro, precisamos olhar para o fator humano, que como bem sabemos, segue sendo problemático. Um relatório publicado pela X-Force Threat Intelligence mostra que ataques de phishing e ransomwares são dois dos principais vetores que originam ataques cibernéticos no setor de energia. Campanhas de conscientização e treinamento precisam ser constantes. Imaginar que uma cidade inteira possa ficar sem energia porque uma pessoa desavisada clicou onde não deveria parece difícil de acreditar, mas é possível, e precisamos estar preparados.Mais do que qualquer outra coisa, o recente apagão brasileiro serve como uma lição – setores críticos da nossa sociedade estão na mira de cibercriminosos, e um ataque bem executado pode ser catastrófico. O episódio tratou-se de uma raríssima oportunidade em que pudermos ver o tamanho do potencial estrago sem que ele de fato acontecesse, então não há motivos para não começarmos o trabalho de prevenção já.